Безбедна локација сервера у Немачкој? Суверенитет података у облаку: Зашто локација сервера у Немачкој није довољна!

Илузија о „Немачкој као сигурној локацији сервера“

Веровање да су подаци на серверима у Немачкој аутоматски заштићени од страног приступа је опасна заблуда. Ова анализа баца светло на то зашто сама физичка локација не гарантује безбедност података и које су мере неопходне за истински суверенитет података.

Многе компаније у Немачкој погрешно претпостављају да чување њихових података на серверима у Немачкој нуди довољну заштиту од неовлашћеног приступа. Међутим, ова претпоставка превиђа кључни фактор: националност добављача услуга у облаку и повезане законске обавезе су далеко важније од физичке локације обраде података.

Закон CLOUD (Clarifying Lawful Overseas Use of Data Act) је амерички закон који је ступио на снагу 2018. године и захтева од америчких ИТ компанија, укључујући њихове међународне подружнице, да предају сачуване податке америчким властима на захтев – без обзира на то где се ти подаци физички чувају. Конкретно, то значи да ако компанија користи AWS, Google Cloud, Microsoft Azure или друге услуге са седиштем у САД, подаци потенцијално могу бити предмет приступа САД, чак и ако се налазе на серверима у Франкфурту, Берлину или Минхену.

Импликације овог закона се често потцењују: „Закон о облаку обавезује америчке добављаче услуга у облаку као што су Google Cloud, Microsoft Azure, Amazon Web Services и Dropbox да податке сачуване у облаку учине доступним америчким властима на захтев.“ Последица је јасна: „Он ефикасно замењује прописе GDPR-а.“

У вези са овим:

• Зашто је амерички CLOUD закон проблем и ризик за Европу и остатак света: Закон са далекосежним последицама

Фундаментални сукоб између америчког закона и европске заштите података

Сукоб између Закона CLOUD и Опште уредбе о заштити података Европске уније (GDPR) ставља компаније у нерешиву дилему. Амерички провајдери са локацијама сервера у ЕУ су обавезни да одобре америчким властима приступ својим серверима, иако им GDPR то експлицитно забрањује. Ова правна неслагања ствара сталну напетост у којој је усклађеност са оба правна оквира практично немогућа.

Ово питање превазилази пуку заштиту података и дотиче се фундаменталног питања суверенитета података. Због потенцијалних могућности приступа америчких власти, „компаније де факто губе контролу над својим подацима, а самим тим и над својом интелектуалном својином“, што је посебно критично за трговинске и пословне тајне.

Правни развој: Од Шремса II до Оквира за заштиту података ЕУ-САД

Правна ситуација се променила кроз неколико судских пресуда и нових споразума. Пресудом Европског суда правде у случају „Schrems II“ из јула 2020. године проглашен је „Штит приватности ЕУ-САД“ неважећим јер су праксе надзора САД биле неспојиве са европским стандардима заштите података. Ова пресуда је значајно отежала пренос података у САД.

Као одговор на то, Европска комисија је у јулу 2023. године усвојила нови Оквир за заштиту података између ЕУ и САД (DPF). Овај оквир има за циљ да реши забринутости које је изазвала пресуда у случају Шремс II: „Нови оквир је осмишљен да реши ове забринутости путем мера заштите које ограничавају приступ подацима ЕУ од стране америчких обавештајних агенција и оснивањем суда за ревизију који може да наложи брисање података грађана ЕУ ако су прикупљени кршећи мере заштите.“

Ипак, овај оквир остаје контроверзан. Важи само до 27. јуна 2025. године, а Европска комисија је недавно предложила продужење одлука о адекватности за Уједињено Краљевство за додатних шест месеци. Стабилност овог правног основа стога није ни на који начин загарантована.

Прави ризици за немачке компаније

Коришћење америчких клауд сервиса представља специфичне ризике за немачке компаније:

1. Кршење података: Закон CLOUD омогућава америчким властима приступ осетљивим подацима без знања стварног власника података, што крши GDPR.
2. Правна дилема: Компаније се суочавају са изазовом – или крше GDPR поштовањем CLOUD закона, или одбијају да пренесу податке америчким властима и тиме крше амерички закон. У оба случаја суочавају се са казнама.
3. Губитак контроле над интелектуалном својином: Посебно је критичан потенцијални приступ пословним тајнама, стратешким плановима и резултатима истраживања.
4. Недостатак транспарентности: Америчке власти могу приступити подацима без обавештавања дотичне компаније.

У вези са овим:

• Изван америчког облака: Преглед суверених SaaS понуда + препоруке за акцију

Прави суверенитет података: Алтернативе америчким добављачима услуга у облаку

Да би постигле истински суверенитет података, компаније морају размотрити алтернативне стратегије:

1. Европски добављачи услуга у облаку као безбедна алтернатива

Ефикасно решење је прелазак на добављаче услуга у облаку са седиштем у ЕУ који не подлежу Закону о облачним услугама (CLOUD Act). Примери укључују:

• IONOS Cloud: Као европски добављач, IONOS подлеже искључиво строгим законима ЕУ о заштити података и гарантује потпуну контролу над подацима. Пошто се подаци чувају у Немачкој, заштићени су од приступа из иностранства. IONOS послује у складу са GDPR-ом и испуњава највише стандарде безбедности и усклађености, укључујући ISO 27001, BSI IT Baseline Protection и C5 сертификацију.
• Hetzner: Нуди услуге хостинга у складу са GDPR-ом и не преноси податке о купцима у треће земље. Чак су и њихове услуге у облаку у САД и Сингапуру у складу са GDPR-ом, јер подаци о купцима остају код Hetzner Online GmbH и не преносе се подружницама.

Предности европских провајдера су очигледне: „Као европски провајдер, IONOS подлеже искључиво строгим законима ЕУ о заштити података и тиме гарантује потпуну контролу над вашим подацима.“

2. Примери успешних миграција

Изводљивост таквих миграција демонстрира пример организације Open Data Denmark, која је прешла са Google Cloud платформе (GCP) на Hetzner-ове центре података у Немачкој. Ова миграција је мотивисана растућом забринутошћу у вези са поверењем, заштитом података и суверенитетом података у односу на GCP. Овај потез је донео три кључне предности:

• Исплативост: Смањење оперативних трошкова за преко 30%
• Суверенитет података: Хостинг у Немачкој осигурао је потпуну усклађеност са прописима ЕУ, посебно са GDPR-ом
• Перформансе: Бољи хардвер и мрежна инфраструктура

Практични кораци за постизање истинског суверенитета података

Да би постигле истински суверенитет података, компаније би требало да размотре следеће кораке:

1. Идентификујте добављаче услуга у облаку: Проверите да ли је ваш тренутни добављач услуга у облаку америчка компанија или подлеже америчком законодавству.
2. Спроведите процену ризика: Процените који су подаци посебно осетљиви и којим ризицима би могли бити изложени код америчких добављача.
3. Процените алтернативне добављаче: Размотрите европске добављаче услуга у облаку као што су IONOS или Hetzner као алтернативе које гарантују потпуну усклађеност са GDPR-ом.
4. Развити стратегију миграције: Планирати фазну миграцију критичних података и апликација ка европским добављачима.
5. Примените мере заштите података: Примените додатне безбедносне мере као што су шифровање и строга контрола приступа.

Више информација овде:

• Интеграција независне и међусобно повезане платформе за све пословне потребе засноване на вештачкој интелигенцији

Суверенитет уместо зависности

Само складиштење података на серверима у Немачкој није довољно да гарантује истински суверенитет података. Правна структура и порекло добављача услуга у облаку су кључни за ефикасну заштиту осетљивих података компаније.

С обзиром на сталне правне несигурности и фундаментални сукоб између америчког закона и европског закона о заштити података, миграција на европске добављаче услуга у облаку је најбезбеднији начин за многе компаније да стекну истинску контролу над својим подацима. Иако ова одлука може захтевати напор, она нуди најпоузданију основу за заштиту података и дигитални суверенитет на дужи рок.

Уместо чекања на даљи правни развој или следећу пресуду у случају „Шремс“, компаније би требало да делују проактивно и поврате контролу над својом дигиталном инфраструктуром. Само на тај начин се може постићи истински суверенитет података – изван пуке „папирне безбедности“ кроз наводно безбедне локације сервера.

У вези са овим:

• Независне платформе за вештачку интелигенцију као стратешка алтернатива за европске компаније
• Мане AI платформе: Кључни недостаци Palantir-а за европске компаније и институције

☑️ Наш пословни језик је енглески или немачки

☑️ НОВО: Преписка на вашем матерњем језику!

Konrad Wolfenstein

Ја и мој тим смо срећни што вам можемо бити на располагању као ваш лични саветник.

Можете ме контактирати попуњавањем контакт форме овде или једноставно позовите на +49 89 89 674 804 ( Минхен) . Моја имејл адреса је: [email protected]

Радујем се нашем заједничком пројекту.

☑️ Подршка малим и средњим предузећима у стратегији, консултацијама, планирању и имплементацији

☑️ Креирање или реорганизација дигиталне стратегије и дигитализације

☑️ Проширење и оптимизација међународних продајних процеса

☑️ Глобалне и дигиталне B2B платформе за трговање

☑️ Пионирски развој пословања / Маркетинг / Односи с јавношћу / Сајмови